Microsoft und Open Source: Nichts als Ärger

Vertreter der Open-Source-Gemeinde haben Microsoft vorgeworfen, mit seiner Implementierung des Authentifizierungs-Verfahrens Kerberos offene Standards zu unterminieren. Kerberos kommt beispielsweise in heterogenen Netzen zum Einsatz, um die Benutzer- und Rechteverwaltung auf einem Server zu zentralisieren.

Das Kerberos-Protokoll wurde am Massachusetts Institute of Technology (MIT) entwickelt und von der Internet Engineering Task Force (IETF) als offener Standard spezifiziert. Kerberos arbeitet mit verschlüsselten "Tickets": Nach der Authentifizierung bei einem Kerberos-Server erhält der Client einen "Fahrschein", der als eine Art Ausweis gegenüber den Diensten im Netzwerk fungiert, die der Client benutzen darf.

Windows 2000 arbeitet mit Kerberos-Authentifizierung, wenn es für den Einsatz des Verzeichnisdienstes Active Directory konfiguriert ist. Die Microsoft-Implementierung greift dabei auf ein Datenfeld innerhalb der Tickets zurück, das in der Kerberos-Spezifikation zwar enthalten ist, bislang jedoch nicht verwendet wurde. Der Inhalt dieses Feldes regelt den Zugriff auf Windows-Ressourcen im Netz. Da Microsoft seine Verwendung nicht offen gelegt hat, sind zurzeit lediglich Windows-2000-Server in der Lage, diese Information zu liefern.

Stammt der Kerberos-Server nicht von Microsoft, fehlt den Tickets eine Angabe, die die Clients zum Zugriff auf Windows-Netzressourcen wie Datei- oder Druckdienste benötigen. Betroffen davon sind nicht nur Kerberos-Server auf anderen Betriebssystemen; auch die Integration des unter Unix und Linux laufenden freien NT-Servers Samba in eine Active-Directory-Struktur wird so erschwert. Praktisch bedeutet das, dass die Authentifizierung in heterogenen Netzen über einen Windows-2000-Server stattfinden muss, wenn die Clients alle Möglichkeiten von Windows 2000 nutzen wollen.

Paul Hill, Kerberos-Entwickler am MIT, erklärte dazu, dass Microsoft zwar Mitglied in der Kerberos-Gruppe des IETF sei, dort seine Veränderungen jedoch nicht als Erweiterung des Standards vorgeschlagen habe. Der Software-Hersteller versuche so, einen De-facto-Standard durchzusetzen, bevor die Änderungen in der IETF diskutiert werden können. Microsofts Vorgehen sei nicht illegal, aber hebele einen offenen Standard aus. Shanen Boettcher, Produktmanager für Windows 2000, entgegnete, dass Microsoft lediglich ein bereits vorgesehenes, bislang nur noch nicht verwendetes Kerberos-Feature nutze. Allerdings äußerte er Verständnis für Befürchtungen von Entwicklern, ohne genaue Kenntnis der Veränderungen würde ihre Software nicht mit Windows 2000 zusammenarbeiten. Es gebe bereits Anfragen nach den technischen Details; allerdings sei noch nicht entschieden, ob Microsoft das modifizierte Protokoll offen legen werde. (odi)